Dela via

Microsoft Entra Connect-synkronisering: Förstå användare, grupper och kontakter

  • Artikel

Det finns flera olika orsaker till varför du skulle ha flera Active Directory-skogar och det finns flera olika distributionstopologier. Vanliga modeller inkluderar en distribution av kontoresurser och GAL-synkroniseringsskogar efter en sammanslagning och ett förvärv. Men även om det finns rena modeller är hybridmodeller också vanliga. Standardkonfigurationen i Microsoft Entra Connect Sync förutsätter inte någon viss modell. Beroende på hur användarmatchning valdes i installationsguiden kan dock olika beteenden observeras.

I den här artikeln går vi igenom hur standardkonfigurationen fungerar i vissa topologier. Vi går igenom konfigurationen och redigeraren för synkroniseringsregler kan användas för att titta på konfigurationen.

Det finns några allmänna regler som konfigurationen förutsätter:

  • Oavsett vilken ordning vi importerar från källans aktiva kataloger bör slutresultatet alltid vara detsamma.
  • Ett aktivt konto bidrar med inloggningsinformation, inklusive userPrincipalName och sourceAnchor.
  • Ett inaktiverat konto bidrar med userPrincipalName och sourceAnchor, såvida det inte är en länkad postlåda, om det inte finns något aktivt konto att hitta.
  • Ett konto med en länkad postlåda används aldrig för userPrincipalName och sourceAnchor. Det förutsätts att ett aktivt konto hittas senare.
  • Ett kontaktobjekt kan etableras till Microsoft Entra-ID som en kontakt eller som en användare. Du vet inte förrän alla Active Directory-källskogar har bearbetats.

Grupper

Kommentar

Tänk på att när du lägger till en användare från en annan skog i gruppen, finns det en fästpunkt som skapats i Active Directory där grupperna finns i en specifik organisationsenhet. Det här ankaret är ett sekundärt säkerhetsobjekt och lagras i organisationsenheten ForeignSecurityPrincipals. Om du inte synkroniserar den här organisationsenheten tas användarna bort från gruppmedlemskapet.

Viktiga punkter att vara medveten om när du synkroniserar grupper från Active Directory till Microsoft Entra ID:

  • Microsoft Entra ID Connect exkluderar inbyggda säkerhetsgrupper från katalogsynkronisering.

  • Microsoft Entra Connect stöder inte synkronisering av primärgruppsmedlemskap till Microsoft Entra-ID.

  • Microsoft Entra Connect stöder inte synkronisering av medlemskap i dynamiska distributionsgrupper till Microsoft Entra-ID.

  • Så här synkroniserar du en Active Directory-grupp med Microsoft Entra-ID som en e-postaktiverad grupp:

    • Om gruppens proxyAddress-attribut är tomt måste dess e-postattribut ha ett värde

    • Om gruppens proxyAddress-attribut inte är tomt måste det innehålla minst ett SMTP-proxyadressvärde. Nedan följer några exempel:

      • En Active Directory-grupp vars proxyAddress-attribut har värdet {"X500:/0=contoso.com/ou=users/cn=testgroup"} kommer inte att vara e-postaktiverad i Microsoft Entra-ID. Den har ingen SMTP-adress.

      • En Active Directory-grupp vars proxyAddress-attribut har värden {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} kommer att vara e-postaktiverad i Microsoft Entra-ID.

      • En Active Directory-grupp vars proxyAddress-attribut har värden {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} kommer också att e-postaktiveras i Microsoft Entra-ID.

Kontakter

Det är vanligt att ha kontakter som representerar en användare i en annan skog efter en sammanslagning och ett förvärv där en GALSync-lösning överbryggar två eller flera Exchange-skogar. Kontaktobjektet ansluter alltid från anslutarplatsen till metaversum med hjälp av e-postattributet. Om det redan finns ett kontaktobjekt eller användarobjekt med samma e-postadress kopplas objekten ihop. Detta konfigureras i regeln In from AD – Contact Join. Det finns också en regel med namnet In från AD – Kontakt Common med ett attributflöde till metaversattributet sourceObjectType med konstanten Kontakt. Den här regeln har låg prioritet, så om något användarobjekt är kopplat till samma metaversumobjekt bidrar regeln In från AD – User Common värdet Användare till det här attributet. Med den här regeln har det här attributet värdet Kontakt om ingen användare är ansluten och värdet Användare om minst en användare hittas.

För att etablera ett objekt till Microsoft Entra ID skapar den utgående regeln Ut till Microsoft Entra ID – Kontaktanslutning ett kontaktobjekt om metaversattributet sourceObjectType är inställt på Kontakt. Om det här attributet är inställt på Användareskapar regeln Ut till Microsoft Entra-ID – Användaranslutning ett användarobjekt i stället. Det är möjligt att ett objekt höjs upp från Kontakt till användare när fler aktiva källkataloger importeras och synkroniseras.

I en GALSync-topologi hittar vi till exempel kontaktobjekt för alla i den andra skogen när vi importerar den första skogen. Det här stegar nya kontaktobjekt i Microsoft Entra Connector. När vi senare importerar och synkroniserar den andra skogen hittar vi de verkliga användarna och ansluter dem till de befintliga metaversumobjekten. Sedan tar vi bort kontaktobjektet i Microsoft Entra-ID:t och skapar ett nytt användarobjekt i stället.

Om du har en topologi där användare representeras som kontakter ser du till att du väljer att matcha användare med e-postattributet i installationsguiden. Om du väljer ett annat alternativ har du en orderberoende konfiguration. Kontaktobjekt ansluter alltid till e-postattributet, men användarobjekt ansluter bara till e-postattributet om det här alternativet har valts i installationsguiden. Då kan du få två olika objekt i metaversum med samma e-postattribut om kontaktobjektet importerades före användarobjektet. Under exporten till Microsoft Entra-ID visas ett fel. Det här beteendet är avsiktligt och skulle tyda på felaktiga data eller att topologin inte identifierades korrekt under installationen.

Inaktiverade konton

Inaktiverade konton synkroniseras också med Microsoft Entra-ID. Inaktiverade konton är vanliga för att representera resurser i Exchange, till exempel konferensrum. Undantaget är användare med en länkad postlåda. Som tidigare nämnts etablerar dessa aldrig ett konto till Microsoft Entra-ID.

Antagandet är att om ett inaktiverat användarkonto hittas kommer vi inte att hitta något annat aktivt konto senare. Objektet initieras i Microsoft Entra ID med userPrincipalName och sourceAnchor som har hittats. Om ett annat aktivt konto ansluter till samma metaversumobjekt används dess userPrincipalName och sourceAnchor.

Ändra sourceAnchor

När ett objekt exporteras till Microsoft Entra-ID får det inte längre ändra sourceAnchor. När objektet exporteras anges metaverse-attributet cloudSourceAnchor med värdet sourceAnchor som godkänts av Microsoft Entra ID. Om sourceAnchor ändras och inte matchar cloudSourceAnchor, så ger regeln Ut till Microsoft Entra ID – Användaranslutning felet sourceAnchor-attribut har ändrats. I det här fallet måste konfigurationen eller data korrigeras så att samma sourceAnchor finns i metaversum igen innan objektet kan synkroniseras igen.

Ytterligare resurser